Categories: PolitikRegulierung

Widerstandsfähige Datenhoheit

Die Digitalisierung verändert die Wirtschaft tiefgreifend: Plattformbasierte Geschäftsmodelle dringen in immer mehr Branchen vor und lassen neue Wertschöpfungssysteme entstehen. Diese digitale Welt macht natürlich nicht Halt an irgendwelchen Ländergrenzen. Ohne europaweites Engagement und einheitliche Regeln, die mit diesem Tempo Schritt halten, werden wir weder wettbewerbs- noch innovationsfähig bleiben. Brüssel hat das sehr wohl erkannt und zuletzt mit der überarbeiteten NIS (Netzwerk- und Informationssicherheits)-Richtlinie ein Rahmenwerk herausgebracht, um die Cybersicherheit im europäischen Raum zu stärken.

Resilienz lautet in diesem Zusammenhang das Schlagwort – angesichts zunehmender Bedrohungen durch Cyberkriminelle ist es dringend notwendig, den Schutz kritischer Infrastrukturen zu erhöhen und ein schnelles Wiederhochfahren von Wirtschaft und Gesellschaft nach einem Störfall zu ermöglichen. Analog zum DSGVO-Katalog werden auch bei NIS 2 künftig Verstöße gegen den vorgeschriebenen Maßnahmenkatalog mit spürbaren Bußgeldern bestraft. Verschärfend kommt noch hinzu, dass die Haftung direkt auf Geschäftsführer und Vorstände ausgeweitet wird.

Eine europäische Lösung für mehr Sicherheit gegen Cyberkriminelle ist absolut begrüßenswert. Damit die Idee aber auch ihre volle Schlagkraft entfaltet, darf man keinesfalls die Fallstricke auf dem Weg dahin aus dem Blick verlieren. So muss Deutschland bei der praktischen Umsetzung in nationale Gesetzgebung unbedingt aufpassen, dass es nicht zu rechtlichen Unklarheiten kommt. Die DSGVO ist ein gutes Beispiel, immerhin sind streng genommen amerikanische Platzhirsche wie Microsoft 365 nicht rechtskonform mit den Anforderungen in puncto Auftragsverarbeitung – eine eindeutige Regelung dazu sucht man allerdings vergeblich.

Dabei sieht der Europäische Gerichtshof zu Recht die Datenhoheit bedroht: Nutzen Unternehmen Microsoft-Anwendungen, die über eine Public Cloud operieren, müssen sie dazu automatisch auch einen Teil der Kontrolle an den Konzern abgeben. Microsoft verschlüsselt die eingehenden Daten und hält die Schlüssel, wodurch ein nicht unerhebliches Sicherheitsrisiko entsteht. Der Cloud Act macht es zudem praktisch unmöglich, Garantien dafür zu geben, dass sensible Daten und Firmengeheimnisse nicht in die falschen Hände geraten.

Ein anderer Punkt, den Unternehmen gerne bei der Wahl ihres Infrastrukturanbieters beiseiteschieben, ist die Tatsache, dass es Resilienz niemals ohne eine grundlegende Souveränität gibt. Wenn sich Unternehmen von großen, international agierenden Technologiekonzernen und deren Plattformen abhängig machen, bleiben jedoch Datensouveränität und Individualisierbarkeit auf der Strecke. Vielmehr wird das alte proprietäre Spiel von Intransparenz und Vendor-Lock-in weitergeführt, mit allen damit verbundenen Gefahren wie Problemen bei der Datenmigration oder mangelnder Investitionssicherheit.

Die Tragweite einer solchen Abhängigkeit sehen wir gerade im Energiemarkt. Deshalb müssen Verantwortliche von kritischen Infrastrukturen eine umfassende Datenstrategie entwickeln und auf die konsequente Umsetzung des Datenschutzes achten. Public-Cloud-Angebote nicht-europäischer Hersteller sind dabei keine Option, immerhin droht bei Verstößen auch die direkte, persönliche Verantwortung der Geschäftsführung und Vorstände.

Fakt ist, ohne resiliente Infrastrukturen wird sich die Forderung nach digitaler Souveränität nicht dauerhaft aufrechterhalten lassen. Im Umkehrschluss wird man ohne die Fähigkeit digital souveränen Handelns nicht in der Lage sein, entsprechend widerstandsfähige digitale Infrastrukturen aufbauen zu können. Beides hängt eng zusammen.

ZDNet.de Redaktion

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

1 Tag ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

1 Tag ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

2 Tagen ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

2 Tagen ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

2 Tagen ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

2 Tagen ago